DORA: Der Countdown läuft – Vorbereitung des Finanzsektors auf neue EU-Cyberrisikoregeln
Ab Januar 2025 steht für über 3.600 Unternehmen des deutschen Finanzsektors eine bedeutende Veränderung an: die Anwendung der EU-Verordnung DORA (Digital Operational Resilience Act), die darauf abzielt, den Finanzsektor widerstandsfähiger gegenüber Cyberrisiken zu machen.
Diese regulatorische Initiative gewinnt insbesondere vor dem Hintergrund jüngerer Cyberangriffe, wie dem Vorfall im Sommer 2023, bei dem die Hackergruppe Clop eine Schwachstelle im Datentransferprogramm MoveIT ausnutzte und weltweit tausende von Unternehmen betraf, an Bedeutung. Besonders betroffen waren auch deutsche Finanzinstitute und Versicherer, was die tiefgreifenden Abhängigkeiten und potenziellen Folgen von IT-Pannen oder Cyberangriffen im Finanzsektor verdeutlicht.
Verstärkter Fokus der Aufsichtsbehörden auf Cyberrisiken
Die BaFin hat, in Kooperation mit anderen europäischen Aufsichtsbehörden, bereits eine verstärkte Aufmerksamkeit auf die IT-Sicherheit von Banken, Versicherern und anderen Finanzdienstleistern gerichtet. Mit DORA führen die europäischen Aufsichtsbehörden nun ein „single rulebook“ für das Risikomanagement in Bezug auf Informations- und Kommunikationstechnologie (IKT) ein, das sämtliche Finanzunternehmen in Europa umfasst und die bisherigen nationalen Regelungen ergänzt und teilweise verschärft.
Umsetzungsfristen und technische Standards
Die Verordnung, die im Januar 2023 in Kraft getreten ist, sieht vor, dass die betroffenen Institute und Unternehmen bis Januar 2025 die neuen Anforderungen erfüllen müssen. Die drei europäischen Aufsichtsbehörden – die EBA, ESMA und EIOPA – entwickeln dazu technische Regulierungsstandards und Leitlinien. Diese sollen den Unternehmen helfen, die Vorgaben praktisch umzusetzen und gleichzeitig ein hohes Maß an Sicherheit gewährleisten.
Kernanforderungen von DORA
Zu den zentralen Elementen von DORA gehört ein umfangreiches IKT-Risikomanagement, das von der Unternehmensleitung direkt verantwortet wird. Die Unternehmen müssen nicht nur die Risiken managen, sondern auch Strategien und Budgets für ihre digitale operationale Resilienz festlegen. Dabei ist besonders wichtig, dass alle Maßnahmen auf dem neuesten Stand der Technik und international anerkannten Best Practices basieren.
Berichtspflichten und Transparenz
Ein wesentlicher Aspekt von DORA ist die Pflicht für Finanzunternehmen, IKT-Vorfälle sorgfältig zu dokumentieren, zu überwachen und zu melden. Diese Meldepflichten werden durch DORA nicht nur erweitert, sondern auch standardisiert, wobei die BaFin eine zentrale Rolle in der Entgegennahme und Weiterleitung solcher Meldungen an das BSI und europäische Aufsichtsbehörden spielt.
Testprogramme und Penetrationstests
DORA verpflichtet Unternehmen außerdem, ihre IKT-Systeme regelmäßig durch risikobasierte und proportionale Testprogramme zu überprüfen. Für bedeutende Unternehmen sind spezielle Penetrationstests (Threat Led Penetration Tests – TLPT) vorgesehen, die darauf abzielen, IT-Schwachstellen zu identifizieren und zu schließen.
Management von IKT-Drittdienstleistern
Ein weiterer wichtiger Bereich, den DORA adressiert, ist das Risikomanagement bei der Nutzung von IKT-Drittdienstleistern. Vor Vertragsabschluss ist eine umfassende Risikoanalyse und Due-Diligence-Prüfung erforderlich. Für kritische oder wichtige Funktionen müssen die Unternehmen eine Ausstiegsstrategie vorhalten und vertraglich festlegen, dass der Dienstleister bei IKT-Vorfällen unterstützt.
Vorbereitung auf den Ernstfall
Nicht zuletzt betont DORA die Bedeutung von Krisenmanagement und Notfallübungen. Der Austausch von Informationen und Erkenntnissen über Cyberbedrohungen wird gefördert, um die Resilienz des gesamten Sektors zu stärken. Die BaFin plant, in diesem Bereich aktiv zu sein und die Zusammenarbeit und Kommunikation in Krisensituationen zu optimieren.
Schlussfolgerung:
Zusammenfassend stellt DORA eine umfassende Initiative dar, die darauf abzielt, die digitale operationale Resilienz des europäischen Finanzsektors zu stärken. Während der Countdown läuft, müssen die Unternehmen nicht nur die technischen Anforderungen umsetzen, sondern auch eine Kultur der Cybersicherheit und kontinuierlichen Verbesserung etablieren. Die nächsten zwei Jahre werden für die betroffenen Unternehmen eine kritische Phase der Anpassung und Vorbereitung sein, um den neuen Herausforderungen effektiv begegnen zu können.
– Lehrgang IT-Compliance und Notfall-Management –
Was bedeutet Informationssicherheit und Notfall-Management? – Informationssicherheit und Notfall-Management sind wichtige Themen in unserer heutigen vernetzten Welt. Der Lehrgang Informationssicherheit und Notfall-Management vermittelt Dir die notwendigen Kenntnisse und Fähigkeiten, um ein erfolgreiches Informationssicherheits- und Notfallmanagement-Programm aufzubauen.
Durch den Lehrgang wist Du in die Lage versetzt, effektive Maßnahmen zur Informationssicherheit und Notfallvorsorge zu ergreifen und so Deiner Organisation einen wertvollen Beitrag zu leisten. Der Lehrgang ist der nächste Schritt auf Deiner Karriereleiter.
Lehrgang Informationssicherheit und Notfall-Management
Für Informationssicherheitsbeauftragte/r und Notfallbeauftragte/r,
sowie neu bestellte ISB und BCM
Online
1610 €
Zzgl. gesetzl. MwSt.
1610 €
-
Du hast die Option zur Teilnahme an der „S+P certified“-Prüfung
-
09.15 bis 17.00
-
1. Tag:
- Aufgaben des Informationssicherheits-Beauftragten
- Wie du deine IT-Sicherheit verbessern kannst
- Aufgaben des Informationssicherheits-Beauftragten
-
2. Tag:
- Die Rolle des Beauftragten für Notfälle
- Business Impact Analysen und Risk Impact Analysen
Buche deinen Lehrgang
Informationssicherheit und Notfall-Management
Programm zum Lehrgang Informationssicherheit und Notfall-Management
Programm 1. Seminartag
09.15 bis 17.00
Aufgaben des Informationssicherheits-Beauftragten
- Verzahnung von IT-Strategie, IT-Sicherheits- und IT-Risikomanagement
- Effiziente Kommunikation und Schnittstellenmanagement mit Auslagerungs-, Datenschutz- und Compliance-Beauftragten
- Mindestanforderungen aus BAIT, KAIT, VAIT, ZAIT, DIN EN ISO 2700x und
BSI-Grundschutz prüfungsfest umsetzen - Einführung der Informationssicherheits-Leitlinie mit Prozessen zur Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung
- Mindestanforderungen aus BAIT, KAIT, VAIT, ZAIT, DIN EN ISO 2700x und
Risikoanalyse zur Feststellung des IT-Schutzbedarfs
- Risikoanalyse im Informationsmanagemen
- Qualitativ verschärfte Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
- Einschätzung des Schutzbedarfs mit Blick auf Ziele, Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität
- Maßstäbe für Erstellung des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen
Wie du als Information Security Officer deine IT-Sicherheit verbessern kannst
- Neue Vorgaben an das Monitoring, die Kontroll- und Berichtspflichten
- Agile Techniken lernen und erfolgreich umsetzen:
- Continuous Monitoring und Continuous Auditing
- Agile Techniken für das ISB Reporting
- Fokus auf Agilität stellt hohe Anforderungen an das Benutzer- Berechtigungsmanagement
- Digital Resilience Act (DORA): Neue Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen
Programm 2. Seminartag
09.15 bis 17.00
Die Rolle des Beauftragten für Notfälle
- MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM
- Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess
- Notfallkonzept für zeitkritische Aktivitäten und Prozesse
- Festlegen von geeigneten Maßnahmen zur Schadensreduzierung
- Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements
- Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen
Business Impact Analysen und Risk Impact Analysen
- Verschärfte Anforderungen an Business Impact Analysen:
- Beeinträchtigung von Aktivitäten und Prozessen
- Zeitpunkt des Ausfalls
- Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse
- Berücksichtigung von Notfallszenarien
Laufende Überwachungspflichten des Business Continuity Managers
- Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
- Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen
- Überprüfungen des Notfallkonzeptes sind zu protokollieren
Dein Mehrwert mit dem Lehrgang Informationssicherheit und Notfall-Management
💡 Schneller Karriere machen mit dem S+P Lehrgang.
💡 Du lernst von den Besten und verbesserst deine Fähigkeiten.
💡 Du lernst die neuesten Trends kennen.
💡 Die S+P Tool Box gibt dir die richtigen Werkzeuge an die Hand.
💡 S+P bietet innovative und praxisnahe Lehrgänge für Fach- und Führungskräfte.
💡 Teilnahmezertifikat Lehrgang Informationssciherheit und Notfall-Management
💡 Option: S+P certified mit Prüfung zum zertifizierten Informationssichereits- und Notfall-Maanagement Beauftragten
S+P Tool Box
-
Schnellzugriff-Vorträge als PDF: Kompakte und sofort einsetzbare Informationen speziell für den Resilience Officer – von den Grundlagen der Informationssicherheit bis hin zu fortgeschrittenen Notfallmanagement-Strategien.
-
Kompakt-Toolkit für den Informationssicherheits-Beauftragten: Ein klarer und leicht verständlicher Leitfaden, der aufzeigt, wie man seine Rolle effektiv ausfüllt und dabei die organisatorische Sicherheit gewährleistet.
-
S+P Guide für IT-Sicherheitsverbesserungen: Praktische und direkte Schritte, um die IT-Sicherheit umgehend zu verbessern und potenzielle Schwachstellen zu erkennen und zu beheben.
-
Toolkit für den Notfall-Beauftragten: Ein praktisches Werkzeug, das sofortigen Zugriff auf Best Practices, Checklisten und Handlungsempfehlungen bietet, um in Krisensituationen rasch zu reagieren.
-
Quick-Check für Business Impact und Risk Impact Analysen: Ein einfacher Leitfaden, um schnell den geschäftlichen Einfluss von Risiken und Notfällen zu bewerten und entsprechende Maßnahmen abzuleiten.
Praxisnahe Lösungsbeispiele:
-
-
Proaktiver Schutz bei Delta Tech GmbH: Wie Delta Tech mithilfe unseres Kompakt-Toolkits für Informationssicherheits-Beauftragte potenzielle Bedrohungen erkannte und sofort Gegenmaßnahmen einleitete.
-
Schnelle Reaktion bei Zeta Systems AG: Durch unseren Blitz-Guide für IT-Sicherheitsverbesserungen konnte Zeta Systems AG sofortige Maßnahmen ergreifen, als ein Sicherheitsvorfall auftrat.
-
Resilienz in Echtzeit bei Eta Services GmbH: Mithilfe unseres Quick-Checks für Business Impact und Risk Impact Analysen war Eta Services stets bereit, sich schnell an wechselnde Situationen anzupassen und potenzielle Geschäftsunterbrechungen zu minimieren.
-
– Lehrgang Informationssicherheit und Notfall-Management –
Aufgaben als Informationssicherheits- und Notfall-Management Beauftragter
Der Informationssicherheitsbeauftragte ist für die Sicherheit der Informationen und Daten der Organisation verantwortlich. Er muss sicherstellen, dass alle Mitarbeiter die Sicherheitsrichtlinien und -verfahren einhalten. Darüber hinaus ist er für das Notfall-Management zuständig und muss sicherstellen, dass im Falle eines Notfalls alle richtigen Maßnahmen ergriffen werden.
Die Aufgaben des Informationssicherheitsbeauftragten umfassen:
- Überwachung der Einhaltung der Sicherheitsrichtlinien und -verfahren durch alle Mitarbeiter
- Planung, Durchführung und Überwachung von Schulungen und Übungen zum Umgang mit Notfallsituationen
- Erstellung von Berichten über die Sicherheitssituation der Organisation
Der Informationssicherheitsbeauftragte muss ein gutes Verständnis für Sicherheit und Notfall-Management haben. Er sollte in der Lage sein, komplexe Sachverhalte verständlich zu erklären und klare Anweisungen zu geben. Er muss gut organisiert sein und über gute Kommunikationsfähigkeiten verfügen.
S+P Lehrgang: Der smarte Weg zum erfolgreichen Informationssicherheits- und Notfall-Management-Beauftragten!